입력문자열 여과여부의 정적분석 설계와 구현

Abstract

오늘 날 인터넷은 여러 분야에서 다양하게 사용되고 있다. 여러 분야에서 다양하게 사용되어짐에 따라 인터넷 상에서 구동되는 웹 어플리케이션의 보급 또한 상당히 증가하였다. 하지만 웹 어플리케이션이 증가함에 따라 웹 어플리케이션안에 내재된 보안 취약점들이 발견 되었고, 취약점으로 인한 위협 또한 증가하였다. 이를 위해 OWASP(Open Web Application Project)에서는 매년 위험한 순서대로 취약점 Top10을 발표했다. 그 중 대표적인 취약점은 삽입취약점(Injection flaw)이다. 삽입취약점은 웹 어플리케이션을 공격하려고 하는 사용자가 웹 어플리케이션의 입력을 통하여 공격코드를 삽입함으로써 프로그램이 의도하지 않은 결과를 내어주는 문제점을 말한다. 삽입공격에 대한 프로그램의 보안을 위한 기존에는 보안흐름분석과 여과함수분석방법을 사용하였다. 두 방법 모두 삽입공격에 대한 방어를 해주었지만 프로그래머가 직접 작성한 여과함수에 대한 분석을 하지는 못하였다. 이를 위해 제시하고자 하는 분석에서는 프로그램 내의 문자열은 문자열을 구성하는 문자들의 집합으로 요약하고, 좀 더 많은 정보를 확보하기 위해 조건문(if문)의 조건이 참인 경우와 거짓인 경우의 상태를 각각 구하고 두 상태를 합친다. 본 논문에서는 PHP 프로그램을 대상으로 하여 위의 분석을 수행하는 분석기를 설계 및 구현하였다.; Web application vulnerabilities have been known to create numerous security problems in the WWW. OWASP(Open Web Application Project) recently announced that injection °aw was the most common among them. In this thesis, we propose a static analysis method that checks whether or not the Web-application user's input is properly filtered when it reaches a hot spot. We implemented the analysis for PHP programs.